如何读懂HIPS的提示
好了,有了这样的认知,就可以迈出第一步了。读懂提示是使用HIPS的第一步。让我们结合下面,如何读懂HIPS的提示。
这是一个AD的提示
明确的告诉了我们,在这次拦截的事件中——
源对象是:KMplayer.exe
目的对象是:所有运行的程序(实际上是安装了一个全局钩子)
事件是:将操作对象DINPUT.dll注入到所有的进程中。
这是个FD的提示
源对象是:Explorer.exe
目标对象是:C:\windows\foobar2000_0.9.5.1.exe
事件是:Explorer.exe试图对C:\windows文件夹下的foobar2000_0.9.5.1.exe进行操作(此处是个用户将foobar2000_0.9.5.1复制到受保护的C:\windows下面的操作)
这个提示窗口的信息是:
源对象是:regedit.exe
目标对象是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run这个下面的键值
事件是:regedit.exe试图在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下面创建一个suchost的键值。也就是我们常说的添加一个自启动项了。
从上面的分析可以看到,按照对象和事件的方法,我们就可以从提示框中获得足够的信息,起码我们知道了,提示框中提交给用户判断的到底是什么进程在试图进行什么操作。这也就是HIPS的本质:拦截事件,并提交给用户进行判断。
了解了HIPS的工作方式,能够清晰的读懂HIPS的提示信息了,那么接下来我们就要步入HIPS这座花园,来看看面对各种各样的提示,究竟我们该做些什么!
网友评论